Aktualizace zabezpečení MS05-026: Chyba zabezpečení v nápovědě HTML by mohla umožnit vzdálené spuštění kódu

Souhrn

Společnost Microsoft vydala bulletin zabezpečení MS05-026. Bulletin zabezpečení obsahuje všechny podstatné informace o této aktualizaci zabezpečení. Jedná se o souborů a možností nasazení. Chcete-li zobrazit celý obsah bulletinu, navštivte následující weby společnosti Microsoft:

Známé problémy

  • Po instalaci aktualizace zabezpečení 896358 nemusí některé druhy webové aplikace pracovat správně. Například tabulky aplikace nápovědy HTML obsah může nadále fungovat. Některé funkce nápovědy HTML, jako je například funkce Příbuzná témata, navíc nemusí fungovat, pokud je soubor CHM otevřen ze vzdáleného umístění.
    Další informace o tomto problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    892675 určité weby a funkce nápovědy HTML nefungují po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175

  • Po instalaci aktualizace zabezpečení 896358 některé webové aplikace nadále fungovat správně. Po klepnutí na odkaz se například nezobrazí téma. Když se pokusíte otevřít soubor CHM ve sdílené síťové složce pomocí cestu (Universal Naming Convention), témata v souboru CHM se nezobrazí. Další informace o tomto problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    896054 nelze otevřít vzdálený obsah pomocí protokolu InfoTech po instalaci aktualizace zabezpečení 896358, Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315

  • Po instalaci aktualizace zabezpečení 896358 nemusí fungovat webové aplikace, které pro povolení přecházení mezi rámci pomocí ovládacího prvku ActiveX nápovědy HTML (HHCTRL). Další informace o tomto problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    896905 po instalaci aktualizace zabezpečení 896358 se obsah, který se má zobrazit v jiném rámci se zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML

  • Po instalaci aktualizace zabezpečení 896358 mohou mít problémy při otevírání souboru nápovědy HTML z hypertextového odkazu v aplikaci Internet Explorer.
    Další informace o tomto problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    902225 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1

  • Po instalaci aktualizace zabezpečení 896358 ovládací prvek ActiveX nápovědy HTML nebude přijímat určité typy adres URL v parametrech. Další informace o tomto problému klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    905215 schémata URL některé jsou ignorovány, při použití schémat URL v parametrech ovládacího prvku ActiveX nápovědy HTML, po instalaci aktualizace zabezpečení 896358

Další informace o nejnovější aktualizaci service pack pro systém Windows Server 2003 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
889100 jak získat nejnovější aktualizaci service pack pro systém Windows Server 2003

Co zkusit

Změny s nápovědou HTML aktualizace zabezpečení 896358

Upozornění: Tento článek poskytuje informace o tom, jak vyřešit problémy, které jsou způsobeny nasazení aktualizace zabezpečení 896358. Společnost Microsoft však neposkytuje žádná konkrétní doporučení, o registru, které jsou pro vaši organizaci správné klíče a hodnoty. Vaše oddělení IT je nejkompetentnější v posouzení výhod těchto řešení oproti rizikům plynoucích z jejich použití. Nejbezpečnější je vůbec používat žádné řešení zasahující do registru.

Následují stručná vysvětlení, jak může aktualizace 896358 ovlivnit webové aplikace.
ProblémChování před aktualizací zabezpečení 896358Chování po aktualizaci zabezpečení 896358Článek znalostní báze Microsoft Knowledge Base, který obsahuje další informace a řešení
Protokol InfoTech je blokován přístup ke vzdálenému obsahuProtokolu InfoTech nemůže zobrazit vzdálený obsah s výjimkou v systému Windows Server 2003 Service Pack 1 (SP1) v kde byl blokován.Všechny operační systémy je blokováno použití protokolu InfoTech k zobrazení vzdáleného obsahu.
896054 nelze otevřít vzdálený obsah pomocí protokolu InfoTech po instalaci aktualizace zabezpečení 896358, Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315

Použití ovládacího prvku ActiveX nápovědy HTML je zablokovány ve vzdáleném obsahuAktualizace zabezpečení 890175 blokuje použití ovládacího prvku ActiveX nápovědy HTML ve vzdáleném obsahu, který je zobrazen v jiné aplikaci než nápovědy HTML. Ovládací prvek je blokován například v aplikaci Internet Explorer.Ovládací prvek ActiveX nápovědy HTML je nyní rovněž blokován uvnitř aplikace nápovědy HTML.
892675 určité weby a funkce nápovědy HTML nefungují po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175

Použití ovládacího prvku ActiveX nápovědy HTML k zobrazení obsahu v jiném rámci je blokovánoAktualizace zabezpečení 890175 blokuje použití ovládacího prvku ActiveX nápovědy HTML ve vzdáleném obsahu, který je zobrazen v jiné aplikaci než nápovědy HTML. Ovládací prvek byl blokován například v aplikaci Internet Explorer.Nebudou správně fungovat webové aplikace, které povolit přecházení mezi rámci používají ovládací prvek ActiveX nápovědy HTML. Obsah, který by se měl zobrazit v jiném rámci, zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML.
896905 po instalaci aktualizace zabezpečení 896358 se obsah, který se má zobrazit v jiném rámci se zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML

soubory CHM nelze otevřít v aplikaci Internet ExplorerŽádný problém.Při použití aplikace Internet Explorer k otevření souboru CHM, téma se nezobrazí.

Poté, co použijete aplikaci Internet Explorer pro uložení souboru CHM, někteří uživatelé mohou mít potíže při otevření souboru z důvodu ochrany prováděné správcem příloh.
902225 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1

Jsou při použití schémat URL v parametrech ovládacího prvku ActiveX nápovědy HTML ignorována určitá schémata URL.V parametrech ovládacího prvku ActiveX nápovědy HTML byla povolena všechna schémata.Ovládací prvek ActiveX nápovědy HTML ignoruje všechna schémata, kromě následujících: soubor protokolu http, https, ftp, jeho, ms-its, mk:@msitstore Hcp.
905215 schémata URL některé jsou ignorovány, při použití schémat URL v parametrech ovládacího prvku ActiveX nápovědy HTML, po instalaci aktualizace zabezpečení 896358

Přístupy k řešení problémů s kompatibilitou aplikací v zabezpečení aktualizace 896358

Aktualizace zabezpečení 896358 podporuje určité klíče a položky registru, které můžete použít, chcete-li vyřešit problémy s kompatibilitou aplikací. Následující otázky použijte k určení požadovaných změn registru vytvořit:
  • Vyžaduje vaše organizace aplikace nebo scénáře, které jsou ovlivněny změnami, které jsou popsány v tomto článku?
    • Kolik aplikací je ovlivněno změnami? Jak důležité jsou tyto aplikace?
    • Jak závažné jsou potíže způsobené změny?
    • Takže není nutné používat technologii nápovědy HTML můžete upravit programy? Můžete například zaměstnanci stahovat soubory CHM místo jejich spouštění ze sdílené složky Webové aplikace pomocí jazyka DHTML tabulky obsah namísto použití ovládacího prvku ActiveX nápovědy HTML?
  • Jaké jsou požadavky na zabezpečení a možnosti vaší organizace?
    • Co je důležitější, že používáte, nebo zajištění co nejvyššího zabezpečení funkce nápovědy HTML.
    • Zvažujete povolení technologie nápovědy HTML pro použití v rámci sítě intranet, jak je popsáno v následujících příkladech? Pokud jste, externí bezpečnostní opatření, jako jsou podnikové brány firewall umožňují dostatečnou důvěru dodržovat tento kurz? Důvěřujete svým zaměstnancům natolik, že nejste obavy o systému ve vaší organizaci používá k útoku na jiný?

Příklady práce s zabezpečení aktualizace 896358

Upozornění: Nejbezpečnější je vůbec používat žádné řešení zasahující do registru. Pokud je nutné použít řešení zasahující do registru, nastavte je jako konzervativní. Například pomocí těchto metod:
  • Namísto použití registru MaxAllowedZone, použijte položku registru UrlAllowList. Nastavte klíč UrlAllowList povolení co možná nejméně webů.
  • Pokud je nutné použít položku registru MaxAllowedZone, nenastavujte vyšší než je nezbytné. Nastavení MaxAllowedZone 3 nebo vyšší poskytuje své systémy útokem z Internetu.
Jakmile shromáždíte informace o vaší organizaci používat nápovědu HTML, přečtěte si následující příklady zobrazíte, pokud je pomoci při vytváření strategie pro použití při instalaci aktualizace zabezpečení 896358 ve vaší organizaci.

Příkladem konzervativního přístupu

Konzervativní přístup by mohl fungovat, pokud pro vaši organizaci platí následující tvrzení:
  • Existují webové aplikace nepoužívají technologii nápovědy HTML.
  • Provedení zabezpečení konzervativního konzervativní aplikací a scénářů používajících nápovědu HTML správně fungovat.
  • Máte webové aplikace, které využívají technologii nápovědy HTML, ale vlastníci těchto aplikací můžete rychle upravit tak aby využívaly jiné technologie.
  • Pro všechny aplikace a scénáře vyžadující technologii nápovědy HTML vědět, nebo můžete jednoduše identifikovat, aplikační servery a sdílené soubory, které jsou nasazeny. Můžete také poskytnout dostatečnou ochranu pro tyto aplikační servery a sdílené položky.
  • Nikdo nemusí otevírat soubory CHM ze vzdálených umístění, například sdílené soubory.
Následující metoda je ukázkou konzervativního přístupu:
  1. Použijte aktualizaci zabezpečení 896358. Poté pomocí objektu Zásady skupiny k vynucení omezení.

    Ve výchozím nastavení pokud měnit jednu nebo více položek registru, po instalaci aktualizací 896358, skutečnosti snižující závažnost rizika zabezpečení v aktualizaci zabezpečení 896358 bude maximální možné omezení. Však můžete použít objekt Zásady skupiny k jednotlivým uživatelům zabránit uvolnění omezení sami.

    Následující soubor registru umožňuje nastavuje zabezpečení v aktualizaci 896358 maximální možné omezení:
    REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"=""

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"=""
    Pokud víte, že vaše organizace nepoužívá žádné webové aplikace vyžadující nápovědu HTML a uživatelé ve vaší organizaci nevyžadují přístup k souborům vzdálené chm, můžete svoji práci ukončit.
  2. Výzkum, jak webové aplikace využívají nápovědu HTML. Možná jste slyšeli od uživatelů, že některé interní webové aplikace jsou aktualizací ovlivněny. Obraťte se na vlastníky těchto aplikací a zjistěte, zda lze upravit funkce vyžadující technologii nápovědy HTML. Pokud webové aplikace můžete provést bez technologii nápovědy HTML, můžete svoji práci ukončit.
  3. Selektivně povolte webové aplikace. Pokud zjistíte, že některé webové aplikace musí mít možnost využívat technologii nápovědy HTML, můžete selektivně opětovně povolit přístup k serverům, které jsou hostiteli těchto aplikací. Následující ukázka souboru registru umožňuje znovu ovládací prvek ActiveX nápovědy HTML a protokolu InfoTech pro určitý web. Tato ukázka souboru registru rovněž opětovně povoluje navigaci mezi rámci pomocí ovládacího prvku ActiveX nápovědy HTML.
    REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"="http://contoso/salesapp/"
    "EnableFrameNavigationInSafeMode"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"="http://contoso/salesapp/"
    Poznámka: Uživatelé pravděpodobně stále nebudou moci otevírat soubory CHM přímo z odkazu na webové stránce.
    Další informace o tomto problému a řešení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    902225 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1

Příklad méně konzervativního přístupu

Tento přístup může fungovat i v případě, že některé z následujících tvrzení platí pro vaši organizaci:
  • Jste ochotni přijmout více rizika za aktualizace zabezpečení 896358 nepříznivě ovlivnit vaší aplikace.
  • Nejste schopni rychle identifikovat všechny aplikace a scénáře vyžadující technologii nápovědy HTML.
  • Webové aplikace, které využívají technologii nápovědy HTML jsou velmi důležité pro vaše podnikání. Navíc nelze změnit rychle těmto aplikacím, aby využívaly jiné technologie.
Následující metoda je ukázkou méně konzervativního přístupu:
  1. Použijte aktualizaci zabezpečení 896358. Poté pomocí objektu Zásady skupiny k vynucení omezení.

    Následující ukázka souboru registru umožňuje všem systémům v intranetu obsluhovat ovládací prvek ActiveX nápovědy HTML a obsah pomocí protokolu InfoTech. Tato ukázka souboru registru rovněž opětovně povoluje navigaci mezi rámci pomocí ovládacího prvku ActiveX nápovědy HTML.
    REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000001
    "EnableFrameNavigationInSafeMode"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000001
    Poznámka: Uživatelé pravděpodobně stále nebudou moci otevírat soubory CHM přímo z odkazu na webové stránce.
    Další informace o tomto problému a řešení klepněte na následující číslo článku databáze Microsoft Knowledge Base:

    902225 nelze otevřít soubory nápovědy HTML v aplikaci Internet Explorer po instalaci aktualizace zabezpečení 896358 nebo aktualizace Windows Server 2003 Service Pack 1

  2. Výzkum, jak webové aplikace využívají nápovědu HTML. Určete, které webové aplikace využívají technologii nápovědy HTML. Obraťte se na vlastníky těchto aplikací a zjistěte, zda lze upravit funkce vyžadující technologii nápovědy HTML.
  3. Optimalizace nastavení nápovědy HTML, které jsou založeny na výzkumu. Pokud zjistíte, že webové aplikace již nepotřebují technologii nápovědy HTML, můžete nasadit stanovit maximální omezení, které jsou podporovány v zabezpečení aktualizace 896358 následující soubor registru:
    REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"=""

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"=""
    Pokud zjistíte, že některé webové aplikace musí používat technologii nápovědy HTML, můžete omezit systémy, které mají povoleno používat technologii. Následující ukázka souboru registru omezuje použití ovládacího prvku ActiveX nápovědy HTML a protokolu InfoTech pro určité weby. Tato ukázka souboru registru rovněž nadále povolit přecházení mezi rámci pomocí ovládacího prvku ActiveX nápovědy HTML.
    REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;"
    "EnableFrameNavigationInSafeMode"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "MaxAllowedZone"=dword:00000000
    "UrlAllowList"="http://wingtiptoys/catalog/;\\wingtiptoys\help\helpfiles;file://\\wingtiptoys\help\helpfiles"

Položky registru

V následující tabulce jsou uvedeny klíče registru nápovědy HTML, které tento článek popisuje. Jsou zde také uvedeny v článku znalostní báze Microsoft Knowledge Base, který můžete zobrazit další informace.
HodnotaČlánek znalostní báze Microsoft Knowledge Base
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\MaxAllowedZone
892675 určité weby a funkce nápovědy HTML nefungují po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\UrlAllowList
892675 určité weby a funkce nápovědy HTML nefungují po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions\EnableFrameNavigationInSafeMode
896905 po instalaci aktualizace zabezpečení 896358 se obsah, který se má zobrazit v jiném rámci se zobrazí v rámci obsahujícím ovládací prvek ActiveX nápovědy HTML

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\MaxAllowedZone
896054 nelze otevřít vzdálený obsah pomocí protokolu InfoTech po instalaci aktualizace zabezpečení 896358, Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions\UrlAllowList
896054 nelze otevřít vzdálený obsah pomocí protokolu InfoTech po instalaci aktualizace zabezpečení 896358, Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315

Zóny zabezpečení aplikace Internet Explorer

Další informace o tom, jak používat zóny zabezpečení v aplikaci Internet Explorer klepněte na následující číslo článku databáze Microsoft Knowledge Base:

174360 jak používat zóny zabezpečení v aplikaci Internet Explorer

Zásady skupiny

Další informace o Zásady skupiny naleznete na následujících webech společnosti Microsoft:
Společnost Microsoft poskytuje ukázky programování pouze pro ilustraci bez žádné záruky výslovně uvedené nebo odvozené. To zahrnuje, ale není omezen pouze na předpokládané záruky obchodovatelnosti nebo vhodnosti pro určitý účel. Tento článek předpokládá, že jste obeznámeni s programovacím jazykem, který je předmětem ukázky a s nástroji, které slouží k vytvoření a ladění skriptu. Pracovníci podpory společnosti Microsoft mohou pomoci vysvětlit funkce určitého postupu, nemohou však následující příklady rozšířit o další funkce nebo vytvářet postupy podle vašich konkrétních požadavků.

Technická podpora pro verze systému Microsoft Windows x64

V počítačích se systémem x64 verze systému Microsoft Windows bude pravděpodobně upravit pokyny v části "Řešení" o tom, jak upravit registr. Například bude pravděpodobně nutné změnit jinou část registru, podle toho, zda chcete změnit 32-bit nebo 64-bit funkčnost. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

896459 změny registru ve verzích x64 systému Windows Server 2003 a v systému Windows XP Professional x64 Edition

Výrobce hardwaru poskytuje technickou podporu a pomoc pro verze systému Windows x64. Výrobce hardwaru poskytuje podporu, protože na základě x64 verzi systému Windows byla součástí dodaného hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows pomocí jedinečných součástí. Jedinečné součásti může zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon hardwaru. Společnost Microsoft bude vyvíjet přiměřené úsilí, jestliže potřebujete technickou pomoc s verzí systému Windows založené na x64. Však bude pravděpodobně nutné obrátit přímo na výrobce. Výrobce je tím nejkvalifikovanějším pro poskytnutí podpory k softwaru, který instaloval na hardware.

Informace o systému Microsoft Windows XP Professional x64 Edition naleznete na následujícím webu společnosti Microsoft:Informace o x64 verze systému Microsoft Windows Server 2003 naleznete na následujícím webu společnosti Microsoft:
Vlastnosti

ID článku: 896358 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor